Maak een noodplan voor beveiligingsincidenten

mon-03OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderBeleid en adviesJuristTechnische robuustheid en veiligheidGovernance

Maatregel

Richt een proces in waarmee beveiligingsincidenten met betrekking tot algoritmes en data zo spoedig mogelijk worden opgelost.

Toelichting

Er zijn procedures aanwezig die borgen dat beveiligingsincidenten met betrekking tot algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het incident, worden opgepakt.

Risico

Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
aia-10 - Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig
avg-12 - Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen

Bronnen

• Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5
• Onderzoekskader Algoritmes Auditdienst Rijk, IB.30
• Toetsingskader Algoritmes Algemene Rekenkamer, 4.06

Voorbeelden

Voorbeeld: Ministerie van Economische Zaken - Uitwijk- en herstelplan

Het Ministerie van Economische zaken heeft een template voor een Disaster Recovery Plan (DRP) opgesteld. Aan de hand van dit document kunnen duidelijke handelingen en verantwoordelijkheden opgeschreven worden voor wanneer een algoritme stopgezet moet worden.

Dit DRP is vrij algemeen en heeft geen specificaties voor algoritmes in het template staan. Dit zal dus verder uitgewerkt moeten worden, maar dit DRP kan als basis dienen voor het verder uitwerken.

Bron: Uitwijk- en herstelplan

Voorbeeld: Netwerk Informatiebeveiliging en Privacy - Incident Management

Het Netwerk Informatiebeveiliging en Privacy (IBP) voor primair en voortgezet onderwijs heeft een template voor incidentmanagementbeleid, het incidentmanagementproces en een beveiligingsincident stappenplan & logboek. In het procestemplate staat onder andere een procesflow, een beschrijving van alle processtappen en een communicatieplan.

Deze documenten zijn specifiek voor primair en voortgezet onderwijs maar zijn gemakkelijk aan te passen.

Bron: Incidentmanagement

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl